Parere del Garante europeo della protezione dei dati (GEPD) sulla proposta di regolamento del Parlamento europeo e del Consiglio che istituisce un'agenzia per la gestione operativa dei sistemi di tecnologia dell'informazione su larga scala del settore della libertà, della sicurezza e della giustizia e sulla proposta di decisione del Consiglio che conferisce all'agenzia istituita con regolamento XX i compiti di gestione operativa del SIS II e del VIS, in applicazione del titolo VI del trattato UE

Parere del garante europeo della protezione dei dati sulla proposta di regolamento del Parlamento europeo e del Consiglio che istituisce un'agenzia per la gestione operativa dei sistemi di tecnologia dell'informazione su larga scala del settore della libertà, della sicurezza e della giustizia e sulla proposta di decisione del Consiglio che conferisce all'agenzia istituita con regolamento XX i compiti di gestione operativa del SIS II e del VIS, in applicazione del titolo VI del trattato UE

(Pubblicato sulla GUUE n. C 70 del 19/3/2010)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 16,

vista la carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati ⁽¹ ⁾,

vista la richiesta di parere a norma dell'articolo 28, paragrafo 2 del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, inviata al GEPD l'11 agosto 2009 ⁽²⁾,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE — CONTESTO DEL PARERE

Descrizione delle proposte

1. Il 24 giugno 2009, la Commissione ha adottato un pacchetto legislativo che istituisce un'agenzia per la gestione operativa dei sistemi di tecnologia dell'informazione su larga scala nel settore della libertà, della sicurezza e della giustizia. Il pacchetto si compone di una proposta di regolamento del Parlamento europeo e del Consiglio che istituisce un'agenzia e di una proposta di decisione del Consiglio che conferisce all'agenzia i compiti di gestione operativa del SIS II e del VIS, in applicazione del titolo VI del trattato UE ⁽³ ⁾. Le due proposte sono illustrate più dettagliatamente in una comunicazione adottata lo stesso giorno ⁽⁴⁰.

L'11 agosto 2009 le proposte e la comunicazione sono state inviate al GEPD per consultazione insieme alla valutazione d'impatto e alla sintesi della valutazione d'impatto ⁽⁵ ⁾.

2. Il regolamento proposto ha come base giuridica il titolo IV del trattato CE. Poiché l'uso del SIS II e del VIS a fini di cooperazione giudiziaria e di polizia in materia penale si fonda attualmente sul titolo VI del trattato UE, il regolamento proposto è integrato da una proposta di decisione del Consiglio fondata sul titolo VI del trattato UE.

3. I rispettivi strumenti giuridici che istituiscono il SIS II, il VIS e EURODAC stabiliscono che la Commissione è responsabile della gestione operativa di questi tre sistemi ⁽⁶⁾. Per il SIS II e il VIS ciò è previsto solo per un periodo transitorio trascorso il quale sarà responsabile della gestione operativa l'organo o autorità di gestione. In una dichiarazione comune del 7 giugno 2007, il Parlamento europeo e il Consiglio hanno invitato la Commissione a presentare, sulla base di una relazione d'impatto contenente un'analisi delle alternative, le necessarie proposte legislative che affidano a un'agenzia la gestione operativa a lungo termine del SIS II e del VIS ⁽⁷ ⁾. Questo invito ha portato alle attuali proposte.

4. L'agenzia istituita dal regolamento proposto sarà in effetti responsabile della gestione operativa del SIS II e del VIS, ma anche di EURODAC ed altri eventuali sistemi IT su larga scala. Il riferimento a «altri eventuali sistemi IT su larga scala» sarà trattato ai punti 28-31 del presente parere. Secondo il preambolo del regolamento proposto, i tre sistemi IT su larga scala, ed eventuali altri sistemi, sono stati posti sotto la direzione di una sola agenzia per i seguenti motivi: creare sinergie, beneficiare di economie di scala, raggiungere una massa critica e assicurare il tasso più elevato possibile di utilizzo del capitale e delle risorse umane ⁽⁸ ⁾.

5. Il regolamento proposto istituisce un'agenzia di regolamentazione che ha autonomia giuridica, amministrativa e finanziaria ed è dotata di personalità giuridica. L'agenzia svolgerà gli incarichi assegnati all'autorità di gestione (o alla Commissione) come descritto negli strumenti giuridici che istituiscono il SIS II, il VIS e EURODAC. Inoltre l'agenzia monitora la ricerca e, su richiesta esplicita della Commissione, attua progetti pilota per lo sviluppo e/o la gestione operativa di sistemi IT su larga scala, in applicazione del titolo IV del trattato CE e eventualmente anche nel settore più generale della libertà, della sicurezza e della giustizia (cfr. punti 28-31).

6. La struttura amministrativa e di gestione dell'agenzia consterà di un consiglio di amministrazione, composto di un rappresentante di ciascuno Stato membro e di due rappresentanti della Commissione, di un direttore esecutivo, nominato dal consiglio di amministrazione, e di gruppi consultivi, che forniscono al consiglio di amministrazione la consulenza in merito ai rispettivi sistemi IT. Al momento la proposta prevede tre gruppi consultivi rispettivamente per il SIS II, il VIS e EURODAC.

7. La proposta di decisione del Consiglio conferisce all'agenzia i compiti affidati all'autorità di gestione di cui alla decisione 2007/533/GAI del Consiglio sul SIS II e alla decisione 2008/633/GAI del Consiglio sul VIS ⁽⁹ ⁾. La decisione proposta prevede inoltre che Europol partecipi come osservatore alle riunioni del consiglio di amministrazione dell'agenzia quando sono all'ordine del giorno questioni concernenti il SIS II o il VIS. Europol può inoltre nominare un rappresentante in seno ai gruppi consultivi SIS II e VIS ⁽¹⁰ ⁾. Anche Eurojust partecipa come osservatore e può nominare un rappresentante, ma solo in relazione al SIS II.

Consultazione del GEPD

8. Il GEPD si rallegra di essere stato consultato in materia e raccomanda che il riferimento alla consultazione figuri nei considerando delle proposte, come avviene normalmente nei testi legislativi sui quali il GEPD è stato consultato, a norma del regolamento (CE) n. 45/2001.

9. Prima dell'adozione della proposta il GEPD è stato consultato informalmente. Se ne rallegra ed è lieto di constatare che la proposta definitiva tiene conto della maggior parte delle sue osservazioni.

10. Naturalmente il GEPD segue da vicino gli sviluppi sulla creazione dell'agenzia che dovrebbe diventare responsabile del corretto funzionamento e della sicurezza delle basi di dati, quali il SIS II, il VIS e EURODAC, che contengono grandi quantità di dati personali. Come sarà chiarito nel presente parere, il GEPD non è contrario alla creazione di una siffatta agenzia, purché taluni rischi potenziali, che potrebbero avere un forte impatto sulla vita privata delle persone, siano adeguatamente trattati nello o negli strumenti legislativi istitutivi.

11. Prima di chiarire ulteriormente questo punto di vista nelle parti III e IV, il GEPD analizzerà innanzi tutto, nella parte II, l'impatto sulle attuali proposte del trattato di Lisbona, entrato in vigore il 1 o dicembre 2009. Nella parte V il GEPD formulerà osservazioni su diverse disposizioni specifiche di entrambe le proposte.

II. IMPATTO DEL TRATTATO DI LISBONA

12. La struttura giuridica dell'Unione europea è cambiata notevolmente con l'entrata in vigore del trattato di Lisbona il 1 o dicembre 2009. Soprattutto nel settore della libertà, della sicurezza e della giustizia, è stata ampliata la competenza dell'UE e sono state adeguate le procedure legislative. Il GEPD ha analizzato l'impatto delle modifiche dei trattati sulle attuali proposte.

13. Le basi giuridiche menzionate nel regolamento proposto sono l'articolo 62, punto 2, lettera a) e lettera b), punto ii), l'articolo 63, punto 1, lettera a) e punto 3, lettera b) e l'articolo 66 del trattato CE. Il testo di questi articoli si ritrova in larga misura nell'articolo 77, paragrafo 1, lettera b) e paragrafo 2, lettere b) e a), nell'articolo 78, paragrafo 2, lettera e), nell'articolo 79, paragrafo 2, lettera c) e nell'articolo 74 del trattato FUE. La procedura legislativa che dovrebbe essere seguita per l'adozione di misure su queste basi giuridiche non cambierà: si applicava e si continuerà ad applicare la procedura di codecisione, chiamata ora «procedura legislativa ordinaria». L'impatto dei trattati modificati sulla base giuridica e sulla procedura legislativa per il regolamento proposto sembra pertanto limitato.

14. Gli articoli su cui è attualmente basata la proposta di decisione del Consiglio sono l'articolo 30, paragrafo 1, lettere a) e b) e l'articolo 34, paragrafo 2, lettera c) del trattato UE.

Nei nuovi trattati l'articolo 34 del trattato UE è stato abrogato. L'articolo 30, paragrafo 1 lettera a) è stato sostituito dall'articolo 87, paragrafo 2, lettera a) del trattato FUE, che crea la base per le misure concernenti la raccolta, l'archiviazione, il trattamento, l'analisi e lo scambio delle pertinenti informazioni adottate secondo la procedura legislativa ordinaria. L'articolo 30, paragrafo 1 lettera b) del trattato UE, che tratta della cooperazione operativa tra le autorità competenti, è sostituito dall'articolo 87, paragrafo 3 del trattato FUE, che prescrive una procedura legislativa speciale secondo cui il Consiglio delibera all'unanimità previa consultazione del Parlamento europeo. Poiché le due procedure legislative non sono tra loro compatibili, il combinato disposto dell'articolo 87, paragrafo 2, lettera a) e dell'articolo 87, paragrafo 3 del trattato FUE non può più costituire la base giuridica della decisione del Consiglio.

Occorre pertanto operare una scelta.

15. Il GEPD ritiene che l'articolo 87, paragrafo 2, lettera a) del trattato FUE possa essere la sola base per la misura proposta. Sarebbe anche l'opzione preferibile in quanto l'uso della procedura legislativa ordinaria implica la piena partecipazione del Parlamento europeo e assicura la legittimità democratica della proposta ⁽¹¹ ⁾. Al riguardo deve essere sottolineato che la proposta riguarda l'istituzione di un'agenzia che sarà responsabile della protezione dei dati personali, la quale discende da un diritto fondamentale riconosciuto dall'articolo 16 del trattato FUE e dall'articolo 8 della carta dei diritti fondamentali dell'Unione, che è diventata vincolante dal 1^o dicembre 2009.

16. La scelta dell'articolo 87, paragrafo 2, lettera a) del trattato FUE come sola base giuridica consentirebbe inoltre alla Commissione di fondere le due attuali proposte in un unico strumento per l'istituzione dell'agenzia, un regolamento da adottare secondo la procedura legislativa ordinaria.

17. In ogni caso il GEPD invita la Commissione a chiarire la situazione in tempi brevi.

III. L'ISTITUZIONE DI UN'AGENZIA DAL PUNTO DI VISTA DELLA PROTEZIONE DEI DATI

18. Come menzionato al punto 3, il Parlamento europeo e il Consiglio hanno invitato la Commissione ad analizzare alternative e a presentare le necessarie proposte legislative che affidano a un'agenzia la gestione operativa a lungo termine del SIS II e del VIS. La Commissione ha aggiunto EURODAC. Nella valutazione d'impatto la Commissione ha vagliato cinque opzioni per la gestione operativa dei tre sistemi:

— proseguimento delle attuali modalità, segnatamente la gestione da parte della Commissione che, rispetto al SIS II e al VIS, include una delega di compiti a due Stati membri (Austria e Francia),

— quanto previsto nella prima opzione con l'aggiunta della delega della gestione operativa di EURODAC alle autorità degli Stati membri,

— istituzione di una nuova agenzia di regolamentazione,

— passaggio della gestione operativa a FRONTEX,

— passaggio della gestione operativa del SIS II a Europol e proseguimento della gestione del VIS e di EURODAC da parte della Commissione.

La Commissione ha analizzato queste opzioni da quattro diverse angolazioni: operativa, di governance, finanziaria e giuridica.

19. Nel quadro dell'analisi giuridica, la Commissione ha raffrontato il modo in cui queste diverse strutture consentirebbero l'effettiva salvaguardia dei diritti e delle libertà fondamentali e in particolare della protezione dei dati personali. Ha concluso che le opzioni 3 e 4 sono al riguardo preferibili ( 12 ).

In relazione alle prime due opzioni la Commissione ha indicato le possibili difficoltà per quanto concerne il controllo da parte del GEPD che sono state discusse durante lo sviluppo del SIS II. Riguardo alle prime due opzioni la Commissione ha inoltre fatto riferimento alla situazione problematica in termini di responsabilità risultante dall'articolo 288 del trattato CE (l'attuale articolo 340 del trattato FUE) qualora fossero contestate le attività svolte da personale nazionale.

20. Il GEPD conviene con la Commissione che dal punto di vista del controllo da parte del GEPD sarebbe preferibile avere un solo organo europeo responsabile della gestione operativa di sistemi IT su larga scala, quali il SIS II, il VIS e EURODAC. L'istituzione di un organo unico chiarirebbe inoltre le questioni relative alla responsabilità ed alla legislazione applicabile. Il regolamento (CE) n. 45/2001 sarebbe applicabile a tutte le attività di siffatto organo europeo.

21. La questione successiva è tuttavia di quale o che tipo di organo europeo si dovrebbe trattare. La Commissione ha esaminato l'istituzione di una nuova agenzia e l'uso di due organi esistenti, segnatamente FRONTEX e Europol. Esiste un argomento solido contro la gestione operativa di sistemi IT su larga scala da parte di FRONTEX o Europol, in quanto questi ultimi, nello svolgimento dei loro compiti hanno interessi propri nell'uso dei dati personali. L'accesso da parte di Europol al SIS II e al VIS è già previsto e la normativa sull'accesso di Europol a EURODAC è attualmente in discussione ⁽¹³ ⁾. Secondo il GEPD sarebbe preferibile un'opzione che affidi la gestione operativa congiunta delle basi di dati su larga scala quali il SIS II, il VIS e EURODAC a un organo indipendente che non abbia interessi propri in quanto utente della base di dati. Ciò riduce il rischio di uso improprio dei dati. Al riguardo il GEPT desidera sottolineare il principio di base della limitazione delle finalità, secondo cui i dati personali non possono essere usati per finalità incompatibili con quella per cui i dati sono stati inizialmente trattati ⁽¹⁴ ⁾.

22. Un'opzione che non è stata discussa dalla Commissione è la gestione operativa dei sistemi da parte della Commissione stessa, senza alcuna delega a livello nazionale. Un'opzione affine èl'istituzione di un'agenzia esecutiva invece di un'agenzia di regolamentazione. Anche se dal punto di vista della protezione dei dati non ci sono opposizioni di principio all'assunzione del compito da parte della Commissione stessa (che non è utente di tali sistemi), il GEPD vede i vantaggi concreti che un'agenzia separata comporta.

Anche la scelta di un'agenzia di regolamentazione invece che esecutiva può essere positiva, in quanto impedisce che sia istituita l'agenzia e definita la portata delle sue attività sulla base di una semplice decisione della Commissione. L'attuale agenzia sarà istituita sulla base di un regolamento adottato secondo la procedura legislativa ordinaria ed è pertanto oggetto di una decisione democratica.

23. Il GEPD considera vantaggiosa l'istituzione di un'agenzia di regolamentazione indipendente. Desidera sottolineare tutta via che tale agenzia dovrebbe essere istituita solo una volta definita chiaramente la portata delle sue attività e responsabilità.

IV. DUE PREOCCUPAZIONI DI CARATTERE GENERALE SULL'ISTITUZIONE DELL'AGENZIA

24. Durante l'attuale dibattito legislativo e pubblico sulla proposta sono state manifestate preoccupazioni sulla possibile creazione di un'agenzia «grande fratello». Questo timore riguarda la possibilità di «function creep» come pure la questione dell'interoperabilità dei diversi sistemi IT. Le due preoccupazioni saranno trattate in questa parte del parere.

25. Prima di trattare la questione il GEPD desidera indicare — come ipotesi di base — che il rischio di errori o di impiego abusivo di dati personali può aumentare quando più sistemi IT su larga scala sono affidati allo stesso gestore operativo.

Complessivamente i sistemi IT su larga scala gestiti dalla stessa e unica agenzia dovrebbero pertanto essere limitati a un numero per il quale possono ancora essere assicurate sufficienti salvaguardie di protezione dei dati. In altri termini non si dovrebbe partire dal principio di assegnare

quanti più sistemi IT su larga scala possibile alla gestione operativa di una sola agenzia.

IV.1. «Function creep»

26. Nell'attuale contesto le paura di una «function creep» nasce dall'idea che la nuova agenzia sarà in grado di creare e combinare di propria iniziativa i sistemi IT su larga scala esistenti o nuovi in una misura al momento imprevedibile.

Secondo il GEPD una «function creep» da parte dell'agenzia può essere evitata se, in primo luogo, la portata delle (possibili) attività dell'agenzia è limitata e chiaramente definita nello strumento giuridico istitutivo e, in secondo luogo, se si garantisce che eventuali ampliamenti della portata si fonderanno su una procedura decisionale democratica, che di regola è la procedura legislativa ordinaria.

27. Quanto alla limitazione della portata delle (possibili) attività dell'agenzia, l'attuale proposta fa riferimento, nell'articolo 1, alla gestione operativa del SIS II, del VIS e di EURODAC e allo «sviluppo e la gestione di sistemi [IT] su larga scala, in applicazione del titolo IV del trattato CE». Quanto alla determinazione della portata, quest'ultima parte di frase solleva tre questioni: cosa si intende per «sviluppo», cosa si intende per «sistemi IT su larga scala» e qual è il significato dell'espressione che figura dopo la virgola? Le tre questioni saranno trattate di seguito in ordine inverso.

Qual è il significato dell'espressione «in applicazione del titolo IV del trattato CE»?

28. L'espressione «in applicazione del titolo IV del trattato CE» stabilisce un limite ai sistemi IT su larga scala che possono essere posti sotto la responsabilità dell'agenzia. Il GEPD rileva tuttavia che questa espressione implica una portata più limitata delle possibili attività dell'agenzia che si pos sono dedurre dal titolo e dai considerando 4 e 10 del regolamento proposto. Tali testi divergono dall'articolo 1 per la portata più ampia che comportano: fanno riferimento al «settore della libertà, della sicurezza e della giustizia» invece che al settore di competenza più limitato previsto al titolo IV del trattato CE (visti, asilo, immigrazione e altre politiche connesse con la libera circolazione delle persone).

29. La distinzione tra il titolo IV del trattato CE e la più ampia nozione di settore della libertà, della sicurezza e della giustizia (che include anche il titolo VI del trattato UE) è riconosciuta all'articolo 6 del regolamento proposto, che tratta, al paragrafo 1, della possibilità per l'agenzia di attuare progetti pilota per lo sviluppo e/o la gestione operativa di sistemi IT su larga scala, in applicazione del titolo IV del trattato CE e, al paragrafo 2, della possibilità che progetti pilota relativi ad altri sistemi IT su larga scala siano attuati dall'agenzia nel settore della libertà, della sicurezza e della giustizia. A rigor di termini l'articolo 6, paragrafo 2 non è in conformità con l'articolo 1 del regolamento proposto.

30. Deve essere risolta la contraddizione tra l'articolo 1 e il titolo nonché i considerando 4 e 10 e l'articolo 6, paragrafo 2 del regolamento proposto. In riferimento all'ipotesi di base formulata al punto 25, secondo il GEPD in questa fase sarebbe auspicabile limitare in effetti il settore di competenza ai sistemi IT su larga scala in applicazione del titolo IV del trattato CE. Dal 1 o dicembre 2009, con l'entrata in vigore del trattato di Lisbona, ciò implicherebbe una limitazione ai settori politici menzionati al titolo V, capo 2 del trattato FUE. Dopo aver acquisito esperienza e dopo una valutazione positiva del funzionamento dell'agenzia (cfr. articolo 27 della proposta e le osservazioni riportate al punto 49), il riferimento dell'articolo 1 potrebbe forse essere ampliato per includere l'intero settore della libertà, della sicurezza e della giustizia, purché tale decisione sia basata sulla procedura legislativa ordinaria.

31. Tuttavia, qualora il legislatore decidesse di optare per una portata risultante dal titolo e dai considerando 4 e 10, dovrebbe allora essere chiarita un'altra questione concernente l'articolo 6, paragrafo 2. Contrariamente al paragrafo 1, il paragrafo 2 dell'articolo 6 non specifica che l'attuazione del progetto pilota è per lo sviluppo e/o la gestione operativa di sistemi IT su larga scala. La distinzione deliberata tra i due paragrafi e l'assenza dell'espressione aggiuntiva nel paragrafo 2 solleva la questione di cosa abbia voluto realmente stabilire la Commissione. Ciò significa che i progetti pilota di cui al paragrafo 1 dovrebbero in cludere una valutazione dell'eventuale sviluppo e gestione operativa da parte della nuova agenzia e che tale valutazione non rientra nei progetti pilota di cui al paragrafo 2?

In caso affermativo occorrerebbe precisarlo meglio nel testo in quanto la soppressione della specificazione non esclude l'attuazione e la gestione operativa di tali sistemi da parte dell'agenzia. Se la Commissione intendeva qualcos'altro, lo si dovrebbe ugualmente chiarire.

Cos'è un sistema IT su larga scala?

32. La nozione di «sistemi IT su larga scala» è abbastanza controversa. Non sempre infatti i pareri convengono su quali sistemi debbano essere considerati «sistemi IT su larga scala» e quali non rientrino in questa categoria. L'interpretazione della nozione ha implicazioni importanti per quanto riguarda la portata delle possibili attività future dell'agenzia.

I tre sistemi IT su larga scala menzionati esplicitamente nella proposta hanno come caratteristica comune l'archiviazione di dati in una banca dati centralizzata di cui (attualmente) è responsabile la Commissione. Non è chiaro se le possibili attività future dell'agenzia siano limitate a sistemi IT su larga scala con tali caratteristiche, o se potrebbero includere anche sistemi decentrati per i quali la responsabilità della Commissione sarebbe limitata allo sviluppo e al mantenimento dell'infrastruttura comune del sistema, quali il sistema Prüm e il sistema europeo di informazione sui casellari giudiziari (ECRIS) ⁽¹⁵ ^). Al fine di evitare futuri malintesi, il GEPD invita il legislatore a chiarire la nozione di sistemi IT su larga scala in relazione all'istituzione dell'agenzia.

Cosa si intende per «sviluppo» di sistemi IT su larga scala?

33. Oltre alla gestione operativa dei sistemi IT su larga scala, l'agenzia svolgerà anche i compiti di cui all'articolo 5 (monitoraggio delle ricerche) e all'articolo 6 (progetti pilota). Il primo implica il monitoraggio delle ricerche pertinenti e la presentazione di relazioni alla Commissione. Le attività relative ai progetti pilota comprendono l'attuazione di progetti pilota per lo sviluppo e/o la gestione operativa di sistemi IT su larga scala (cfr. tuttavia le osservazioni di cui al punto 31 supra). L'articolo 6 precisa come dovrebbe essere inteso il termine «sviluppo». L'uso del termine all'articolo 1 lascia intendere che l'agenzia potrebbe essere responsabile dello sviluppo di sistemi IT su larga scala di propria iniziativa. Ciò è tuttavia escluso dalla formulazione dell'articolo 6, paragrafi 1 e 2, in cui si indica chiaramente che l'agenzia può procedere in tal senso «[s]u richiesta esplicita della Commissione». In altre parole, l'iniziativa per lo sviluppo di sistemi IT su larga scala spetta alla Commissione. Qualsiasi decisione di istituire concretamente un nuovo sistema IT su larga scala dovrebbe ovviamente fondarsi sulle procedure legislative previste nel trattato FUE.

Al fine di rafforzare ulteriormente la formulazione dell'articolo 6 del regolamento proposto, il legislatore potrebbe decidere di aggiungere il termine «unicamente» al l'inizio dei paragrafi 1 e 2 dell'articolo 6.

In sintesi

34. Come affermato in precedenza, il rischio di «function creep» può essere evitato se, in primo luogo, la portata delle (possibili) attività dell'agenzia è limitata e chiaramente definita nello strumento giuridico istitutivo e, in secondo luogo, se si garantisce che eventuali ampliamenti della portata si fonderanno su una procedura decisionale democratica, che di regola è la procedura legislativa ordinaria. Il testo attuale contiene già delle precisazioni che limitano il rischio di «function creep».

35. Tuttavia, permangono alcune incertezze riguardo alla portata specifica delle possibili attività della nuova agenzia. Il legislatore dovrebbe, in primo luogo, chiarire e decidere consapevolmente se la portata delle attività è limitata al Capo 2 del titolo V del trattato FUE o se tali attività debbano potenzialmente riguardare tutti i sistemi IT su larga scala sviluppati nel settore della libertà, della sicurezza e della giustizia. Il legislatore dovrebbe, in secondo luogo, spiegare la nozione di sistemi IT su larga scala all'interno di questo quadro e chiarire se tale nozione sia limitata a sistemi IT su larga scala che hanno come caratteristica l'archiviazione di dati in una banca dati centralizzata di cui la Commissione o l'agenzia sono responsabili. In terzo luogo, sebbene l'articolo 6 impedisca già all'agenzia di sviluppare nuovi sistemi IT di sua iniziativa, il testo di tale articolo potrebbe essere ulteriormente rafforzato mediante l'ag giunta del termine «unicamente» all'inizio dei paragrafi 1 e 2, se quest'ultimo sarà mantenuto

IV.2. Interoperabilità

36. La nozione di «interoperabilità» non è priva di ambiguità. Il GEPD è giunto a questa conclusione delle sue osservazioni del 10 marzo 2006 sulla comunicazione della Commissione sull'interoperabilità tra le banche dati europee ⁽¹⁶ ⁾. Riguardo alla nuova agenzia, la nozione di interoperabilità deve essere intesa come comprendente il rischio che, ponendo vari sistemi IT su larga scala sotto la gestione operativa di un'agenzia, siano utilizzate tecnologie simili per tutti i sistemi, che potranno in tal mondo essere facilmente interconnessi. In generale il GEPD condivide tale preoccupazione. Nelle sue osservazioni del 10 marzo 2006 il GEPD aveva affermato che il fatto di rendere tecnicamente possibile l'interconnessione di sistemi IT su larga scala diversi costituisce un forte incentivo a procedere in tal senso. Ciò fornisce una ragione supplementare per ribadire l'importanza delle norme in materia di protezione dei dati. Il GEPD ha pertanto sottolineato che l'interoperabilità dei sistemi IT su larga scala può essere resa possibile soltanto se si garantisce il pieno rispetto dei principi di protezione dei dati ed in particolare del principio della limitazione delle finalità menzionato in precedenza (cfr. punto 21 supra).

37. L'eventuale incoraggiamento a rendere interoperabili dei sistemi IT su larga scala grazie all'utilizzo di tecnologie che facilitano l'interconnessione non è tuttavia necessariamente correlato all'istituzione di una nuova agenzia. Inoltre, senza un'agenzia siffatta potrebbero essere sviluppati sistemi secondo modalità analoghe, che potrebbero a loro volta favorire l'interoperabilità.

38. Indipendentemente dalla scelta riguardo alla struttura di gestione operativa, l'interoperabilità può essere resa possibile solo se è garantita l'osservanza delle norme in materia di protezione dei dati e se l'effettiva decisione di procedere in tal senso si fonda su una procedura legislativa ordinaria.

Dal regolamento proposto emerge chiaramente che la decisione di rendere interoperabili dei sistemi IT su larga scala non può essere adottata dall'agenzia (cfr. anche l'analisi di cui al punto 33 supra). A ulteriore conferma di questo punto, come tra l'altro risulta dalla comunicazione della Commissione sulle agenzie europee dell'11 marzo 2008, la Commissione non ha la facoltà di delegare ad un'agenzia il potere di adottare tale genere di misure normative di tipo generale ⁽¹⁷ ⁾. Sinché non sarà adottata una decisione, l'agenzia sarà obbligata a porre in essere misure di sicurezza ad hoc al fine di impedire qualsiasi interconnessione possibile tra i sistemi IT su larga scala da essa gestiti (cfr. sulle misure di sicurezza anche i punti 46 e 47).

39. L'interoperabilità (prevista o eventualmente realizzabile in futuro) potrebbe far parte della richiesta rivolta dalla Com missione all'agenzia circa l'attuazione di un progetto pilota per lo sviluppo di nuovi sistemi IT su larga scala, come descritto all'articolo 6 del regolamento proposto. Da ciò scaturisce il quesito sulla procedura che la Commissione intende seguire per incaricare l'agenzia di attuare un progetto pilota siffatto. La richiesta della Commissione dovrebbe fondarsi in ogni caso almeno su una valutazione preliminare della conformità del sistema IT su larga scala in quanto tale, e in particolare dell'interoperabilità, con i requisiti in materia di protezione dei dati e più in generale con la base giuridica su cui detti sistemi si fondano. Inoltre, una consultazione obbligatoria del Parlamento europeo e del GEPD potrebbe far parte della procedura che conduce alla richiesta. La richiesta effettiva rivolta dalla Commissione all'agenzia dovrebbe in ogni caso essere resa nota a tutte le parti interessate, compreso il Parlamento ed il GEPD. Il GEPD invita il legislatore a chiarire detta procedura.

V. OSSERVAZIONI SPECIFICHE

Considerando 16 e articolo 25 del regolamento proposto: riferimenti al regolamento (CE) n. 45/2001

40. Il regolamento proposto istituisce un'agenzia di regolamentazione indipendente avente personalità giuridica. Il considerando 6 del regolamento proposto indica che tale agenzia sarebbe istituita poiché l'autorità di gestione dovrebbe avere autonomia giuridica, amministrativa e finanziaria. Come già affermato al punto 20, l'istituzione di un organo unico chiarisce le questioni relative alla responsabilità ed alla legislazione applicabile.

Articolo 7, paragrafo 4 e articolo 19 del regolamento: sede dell'agenzia

41. L'articolo 25 del regolamento proposto conferma che al trattamento dei dati effettuato dalla nuova agenzia si applica il regolamento (CE) n. 45/2001. Il considerando 16 sottolinea inoltre che ciò comporta che il GEPD ha il potere di ottenere dall'agenzia l'accesso a tutte le informazioni necessarie per le sue indagini.

42. Il GEPD si compiace che l'applicabilità del regolamento (CE) n. 45/2001 alle attività della nuova agenzia sia sottolineata in questo modo. La proposta di decisione del Consiglio non contiene alcun riferimento al regolamento (CE) n. 45/2001, sebbene sia chiaro che l'agenzia sarà soggetta anche alle disposizioni di tale regolamento allorché la banca dati è utilizzata per attività che rientrano nella cooperazione giudiziaria e di polizia in materia penale. Alla luce dell'entrata in vigore del trattato di Lisbona, e qualora il legislatore decidesse di mantenere la divisione in due strumenti giuridici (cfr. le osservazioni di cui alla parte II), non vi è ragione di escludere un riferimento al regolamento (CE) n. 45/2001 anche nei considerando e/o nelle disposizioni della decisione del Consiglio.

Articolo 9, paragrafo 1, lettera o), del regolamento oggetto della proposta: il responsabile della protezione dei dati

43. Il GEPD si compiace inoltre che la nomina di un responsabile della protezione dei dati (RPD) sia chiaramente menzionata all'articolo 9, paragrafo 1, lettera o) del regolamento proposto. Il GEPD desidera ribadire l'importanza di nominare un RPD in una fase iniziale, tenendo conto della relativa posizione del GEPD⁽¹⁸⁾.

Articolo 9, paragrafo 1, lettere i) e j) del regolamento oggetto della proposta: programma di lavoro annuale e relazione generale di attività

44. Conformemente al regolamento (CE) n. 45/2001 e mediante gli strumenti giuridici che istituiscono i sistemi IT, il GEPD esercita poteri di controllo sull'agenzia. Tali poteri, elencati all'articolo 47 del regolamento (CE) n. 45/2001, sono prevalentemente esercitati allorché una violazione delle norme in materia di protezione dei dati è già avvenuta. Il GEPD tiene ad essere regolarmente informato, non solo successivamente, ma anche in anticipo, delle attività dell'agenzia. Attualmente il GEPD ha sviluppato una prassi con la Commissione che risponde a tale richiesta. Il GEPD esprime l'auspicio che sia stabilita una cooperazione ugualmente proficua anche con l'agenzia di nuova istituzione. In tale contesto, il GEPD raccomanda al legislatore di includere il GEPD nell'elenco dei destinatari del programma di lavoro annuale e della relazione generale di attività, ai sensi dell'articolo 9, paragrafo 1, lettere i) e j) del regolamento proposto.

Articolo 9, paragrafo 1, lettera r), del regolamento oggetto della proposta: audit del GEPD

45. L'articolo 9, paragrafo 1, lettera r) del regolamento proposto riguarda la relazione del GEPD concernente l'audit ai sensi dell'articolo 45 del regolamento (CE) n. 1987/2006 sul SIS II e dell'articolo 42, paragrafo 2 del regolamento (CE) n. 767/2008 sul VIS. L'attuale formulazione sembra indicare che l'agenzia ha una discrezionalità totale quanto al seguito da riservare all'audit, compresa la possibilità di non seguire del tutto le raccomandazioni. Sebbene l'agenzia possa formulare osservazioni sulla relazione e sarà libera di attuare le raccomandazioni del GEPD secondo le modalità che preferisce, l'opzione di non seguire del tutto le raccomandazioni non è possibile. Il GEPD suggerisce pertanto di sopprimere questo articolo oppure di sostituire la frase «e decide sul seguito da dare all'audit» con: «e decide su come attuare le raccomandazioni nel modo più appropriato in seguito all'audit».

Articolo 9, paragrafo 1, lettera n), articolo 14, paragrafo 6, lettera g) e articolo 26 del regolamento oggetto della proposta: regime di sicurezza

46. Il regolamento proposto prevede che il direttore esecutivo sottoponga al consiglio di amministrazione, per adozione, il progetto sulle misure di sicurezza necessarie, compreso un piano di sicurezza [cfr. articolo 14, paragrafo 6, lettera g) e articolo 9, paragrafo 1, lettera n)]. La sicurezza è menzionata anche all'articolo 26, relativo al regime di sicurezza in materia di protezione delle informazioni classificate e delle informazioni sensibili non classificate. È fatto riferimento alla decisione 2001/844/CE, CECA, Euratom ⁽¹⁹⁾ della Commissione, del 29 novembre 2001, nonché, al paragrafo 2, ai principi di sicurezza relativi al trattamento delle informazioni sensibili non classificate adottati e applicati dalla Commissione europea. Oltre alle osservazioni che seguiranno al prossimo punto, il GEPD raccomanda al legislatore di inserire nel paragrafo 2 anche un riferimento ad una documentazione specifica, poiché la formulazione attuale appare abbastanza vaga.

47. Il GEPD desidera porre l'accento sul fatto che gli strumenti giuridici su cui si fondano il SIS II, il VIS e l'Eurodac contengono disposizioni dettagliate in materia di sicurezza.

Non è evidente che tali norme specifiche siano totalmente simili o pienamente compatibili con le norme di cui all'articolo 26. Poiché il piano di sicurezza dovrebbe assicurare il livello più elevato di sicurezza, il GEPD raccomanda al legislatore di trasformare l'articolo 26 in una disposizione più ampia che affronti la questione del regime di sicurezza in maniera più generale ed includa riferimenti alle disposizioni pertinenti degli strumenti giuridici relativi ai tre sistemi IT su larga scala. Ciò dovrebbe essere preceduto da una valutazione della misura in cui le norme in questione siano simili e compatibili tra loro. Si dovrebbe inoltre stabilire un legame tra, da un lato, tale disposizione più ampia e, dall'altro, l'articolo 14, paragrafo 6, lettera g) e l'articolo 9, paragrafo 1, lettera n) relativi all'elaborazione e all'adozione di misure di sicurezza e di un piano di sicurezza.

48. Il GEPD è consapevole del fatto che la decisione sulla sede dell'agenzia, quale prevista all'articolo 7, paragrafo 4, è in larga misura di natura politica. Il GEPD raccomanda tutta via che, alla luce dell'articolo 19 relativo all'accordo sulla sede la scelta della sede sia fondata su criteri obiettivi quali la disponibilità di un singolo edificio da riservare soltanto all'agenzia, nonché le possibilità di garantire la sicurezza dell'edificio stesso.

Articolo 27 del regolamento oggetto della proposta: valutazione

49. L'articolo 27 del regolamento proposto stabilisce che entro tre anni dalla data in cui l'agenzia ha assunto le funzioni e successivamente ogni cinque anni, il consiglio di amministrazione commissiona una valutazione, esterna e indipendente, sulla base di un mandato conferito dal consiglio di amministrazione di concerto con la Commissione. Al fine di garantire che la protezione dei dati sia inclusa in tale mandato, il GEPD raccomanda al legislatore di fare esplicito riferimento a tale esigenza nel primo paragrafo. Il GEPD invita inoltre il legislatore a specificare in modo non limitativo le parti interessate cui si fa riferimento al paragrafo 2 e ad includere il GEPD. Il GEPD raccomanda al legislatore di inserirlo anche nell'elenco delle istituzioni che ricevono i documenti di cui al paragrafo 3.

VI. CONCLUSIONE E RACCOMANDAZIONI

50. A titolo preliminare, il GEPD richiama l'attenzione sull'impossibilità di fondare la decisione del Consiglio proposta sui due articoli del trattato FUE che subentrano agli articoli del trattato UE su cui la proposta si fonda attualmente. Il GEPD invita la Commissione a chiarire la situazione ed a prendere in considerazione l'ipotesi di utilizzare come base giuridica l'articolo che attribuisce maggiori poteri al Parlamento europeo nonché a contemplare la fusione delle due proposte in un unico regolamento.

51. Il GEPD ha analizzato le varie opzioni per la gestione operativa del SIS II, del VIS e dell'Eurodac e conviene sui vantaggi della creazione di un'agenzia di regolamentazione per la gestione operativa di taluni sistemi IT su larga scala.

Il GEPD sottolinea tuttavia che tale agenzia dovrebbe essere istituita solo se definita chiaramente la portata delle sue attività e responsabilità.

52. Il GEPD ha discusso due preoccupazioni principali relative all'istituzione di un'agenzia pertinente in materia di protezione dei dati: il rischio di «function creep» e le conseguenze per l'interoperabilità dei sistemi.

53. Il GEPD ritiene che il rischio di «function creep» possa essere evitato se, in primo luogo, la portata delle (possibili) attività dell'agenzia è limitata e chiaramente definita nello strumento giuridico istitutivo e, in secondo luogo, se si garantisce che eventuali ampliamenti della portata si fonderanno su una procedura decisionale democratica. Il GEPD rileva che le proposte attuali contengono già tali precisazioni, ma che sussistono talune incertezze. Il GEPD raccomanda pertanto al legislatore:

— di chiarire e decidere consapevolmente se la portata delle attività dell'agenzia è limitata al Capo 2 del titolo V del trattato FUE o se tali attività debbano potenzialmente riguardare tutti i sistemi IT su larga scala sviluppati nel settore della libertà, della sicurezza e della giustizia,

— di chiarire la nozione di sistemi IT su larga scala in relazione all'istituzione dell'agenzia e se tale nozione è limitata ai sistemi che si caratterizzano per l'archiviazione di dati in una banca dati centralizzata per cui la Commissione e l'agenzia sono responsabili,

— di rafforzare ulteriormente il testo dell'articolo 6 ag giungendo il termine «unicamente» all'inizio dei paragrafi 1 e 2, se quest'ultimo sarà mantenuto.

54. In generale il GEPD esprime preoccupazione per le ambiguità negli sviluppi relativi alla possibile interoperabilità dei sistemi IT su larga scala. Il GEPD non ritiene tuttavia l'istituzione dell'agenzia come il fattore più allarmante a tale proposito. Il GEPD ha constatato che l'agenzia non sarà in grado di adottare decisioni sull'interoperabilità di sua iniziativa. Il GEPD invita il legislatore, nel contesto dei progetti pilota proposti, a chiarire la procedura che la Commissione dovrebbe seguire prima di richiedere un progetto pilota.

Secondo il parere del GEPD tale procedura dovrebbe includere una valutazione, che potrebbe richiedere una consultazione del Parlamento europeo e del GEPD, sul possibile impatto sulla protezione dei dati dell'iniziativa elaborata in seguito a detta richiesta.

55. Il GEPD formula inoltre le seguenti raccomandazioni specifiche:

— includere il GEPD nell'elenco dei destinatari del programma di lavoro annuale e della relazione generale di attività, ai sensi dell'articolo 9, paragrafo 1, lettere

i) e j) del regolamento proposto,

— sopprimere l'articolo 9, paragrafo 1, lettera r) del regolamento proposto oppure sostituire la frase «e decide sul seguito da dare all'audit» con: «e decide su come attuare le raccomandazioni nel modo più appropriato in seguito all'audit»,

— trasformare l'articolo 26 del regolamento proposto in una disposizione che affronti la questione del regime di sicurezza in modo più generale e che includa riferimenti alle disposizioni pertinenti degli strumenti giuridici relative ai sistemi IT su larga scala e stabilisca un legame tra, da un lato, tale disposizione più ampia e, dall'altro, l'articolo 14, paragrafo 6, lettera g) e l'articolo 9, paragrafo 1, lettera n) del regolamento proposto,

— in relazione al punto precedente, includere un riferimento ad una documentazione specifica

nell'articolo 26, paragrafo 2 del regolamento proposto,

— tener conto di criteri obiettivi e pratici nella scelta della sede dell'agenzia,

— includere il GEPD nell'elenco delle istituzioni destinatarie dei documenti di cui all'articolo 27, paragrafo 3 del regolamento proposto.

Fatto a Bruxelles, il 7 dicembre 2009.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

( 1 ) GU L 281 del 23.11.1995, pag. 31.

( 2 ) GU L 8 del 12.1.2001, pag. 1.

( 3 ) Cfr. COM(2009) 293 definitivo e COM(2009) 294 definitivo.

( 4 ) Cfr. COM(2009) 292 definitivo.

( 5 ) Cfr. SEC(2009) 836 definitivo e SEC(2009) 837 definitivo.

( 6 ) Cfr. l'articolo 15 del regolamento (CE) n. 1987/2006 sul SIS II (GU L 381 del 28.12.2006, pag. 4), l'articolo 26 del regolamento (CE) n. 767/2008 sul VIS (GU L 218 del 13.8.2008, pag. 60) e l'articolo 13 del regolamento (CE) n. 2725/2000 del Consiglio (GU L 316 del 15.12.2000, pag. 1).

( 7 ) Cfr. la dichiarazione comune del 7 giugno 2007, allegata alla risoluzione legislativa del Parlamento europeo del 7 giugno 2007 sulla proposta di regolamento VIS.

( 8 ) Cfr. il considerando 5 del regolamento proposto.

( 9 ) GU L 205 del 7.8.2007, pag. 63 e GU L 218 del 13.8.2008, pag. 129.

( 10 ) Se, dopo l'adozione della proposta di decisione del Consiglio, a Europol sarà consentito l'accesso a EURODAC sulle richieste di confronto con i dati EURODAC presentate dalle autorità di contrasto degli Stati membri e da Europol a fini di contrasto [cfr. COM(2009) 344 definitivo.], esso avrà probabilmente diritto alle stesse condizioni in relazione a EURODAC. Sulla proposta di decisione del Consiglio, cfr. tuttavia il parere critico del GEPD del 7 ottobre 2009 disponibile sul sito: http://www.edps.europa.eu/ EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/ Opinions/2009/09-10-07_Access_Eurodac_EN.pdf

( 11 ) Nella sentenza detta «biossido di titanio», la Corte di giustizia ha annesso particolare importanza alla partecipazione del Parlamento europeo al processo legislativo, cfr. sentenza della Corte di giustizia dell'11 giugno 1991, causa C-300/89, Commissione/Consiglio, Racc. 1991, pag. I-2867, punto 20.

( 12 ) Cfr. valutazione d’impatto, pag. 32.

( 13 ) Cfr. su quest'ultimo aspetto il parere del GEPD del 7 ottobre 2009 di cui alla nota in calce 10.

( 14 ) Cfr. articolo 4, paragrafo 1, lettera b) del regolamento (CE) n. 45/2001.

( 15 ) Cfr. per il sistema Prüm le decisioni del Consiglio 2008/615/GAI e 2008/616/GAI, del 23 giugno 2008, relative al potenziamento della cooperazione transfrontaliera, soprattutto nella lotta al terrorismo e alla criminalità transfrontaliera (GU L 210 del 6.8.2008, pag. 1 e GU L 210 del 6.8.2008, pag. 12) ed i pareri del GEPD del 4 aprile 2007 (GU C 169 del 21.7.2007, pag. 2) e del 19 dicembre 2007 (GU C 89 del 10.4.2008, pag. 1). Per ECRIS, cfr. la decisione 2009/316/GAI del Consiglio, del 6 aprile 2009, che istituisce il sistema europeo di informazione sui casellari giudiziari (ECRIS) (GU L 93 del 7.4.2009, pag. 33) ed il parere del GEPD del 16 settembre 2008 (GU C 42 del 20.2.2009, pag.1).

( 16 ) Osservazioni del GEPD del 10 marzo 2006 disponibili al seguente indirizzo:

http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/2006/06-03-10_ Interoperability_EN.pdf

( 17 ) COM(2008) 135 definitivo, pag. 5.

( 18 ) Documento di sintesi del GEPD del 28 novembre 2005, disponibile al seguente indirizzo:

http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/ 2008/02.12.08_High_Level_Contact_Group_IT.pdf

( 19 ) GU L 317 del 3.12.2001, pag. 1.